Para la entrada HTML, quiero neutralizar todos los elementos HTML que tienen js en línea (onclick = "..", onmouseout = ".." etc). Estoy pensando, ¿no es suficiente codificar los siguientes caracteres? =, (,)

Así que onclick = "location.href = 'ggg.com'"
se convertirá en el clic% 3D "location.href% 3D'ggg.com '"

¿Que me estoy perdiendo aqui?

Edición: Necesito aceptar HTML activo (no puedo evitarlo todo o entidades).